Menorah Malware ansatt av Iranian APT

Iransk-sponsede cyberaktører kjent som OilRig har vært knyttet til en spyd-phishing-kampanje som infiserer ofre med en ny type skadelig programvare kalt Menorah. I følge en rapport fra sikkerhetsforskere er denne skadevaren designet for nettspionasje, med muligheten til å identifisere og lese filer på en målmaskin, samt laste opp og laste ned filer. Selv om de eksakte målene for disse angrepene ennå ikke er kjent, tyder bruken av lokkemidler på at minst ett av dem er en organisasjon lokalisert i Saudi-Arabia.

OilRig, også kjent som APT34, Cobalt Gypsy, Hazel Sandstorm og Helix Kitten, er en iransk avansert vedvarende trussel-gruppe (APT) som spesialiserer seg på å utføre skjulte etterretningsinnsamlingsoperasjoner for å infiltrere og opprettholde tilgang innenfor målrettede nettverk. Nylige funn fra NSFOCUS avslørte et OilRig phishing-angrep som førte til distribusjon av en ny variant av SideTwist malware, noe som indikerer pågående utviklingsinnsats.

I den siste infeksjonskjeden dokumentert av forskere, brukes et lokkedokument til å lage en planlagt oppgave for utholdenhet og slippe en kjørbar fil ("Menorah.exe"). Denne kjørbare filen etablerer kontakt med en ekstern server for å avvente ytterligere instruksjoner, selv om kommando-og-kontroll-serveren for øyeblikket er inaktiv. Denne .NET-skadevare er en forbedret versjon av det originale C-baserte SideTwist-implantatet som ble oppdaget av Check Point i 2021. Det er utstyrt med ulike funksjoner, som vertsfingeravtrykk, filoppføring, filopplasting fra det kompromitterte systemet, kjøring av skallkommandoer og fil nedlasting til det infiserte systemet.

Hvem er OilRig APT?

OilRig Advanced Persistent Threat (APT) er en cyberspionasjegruppe som antas å være støttet av den iranske regjeringen. Også kjent under forskjellige andre navn, inkludert APT34, Cobalt Gypsy, Hazel Sandstorm og Helix Kitten, har OilRig vært aktiv siden minst 2014. Her er noen viktige egenskaper og aktiviteter knyttet til OilRig APT:

• Iransk attribusjon: OilRig antas å være en statsstøttet hackergruppe basert i Iran. Mens den iranske regjeringen ikke offisielt har bekreftet sitt engasjement, har cybersikkerhetseksperter og forskere knyttet gruppen til Iran basert på ulike tekniske og kontekstuelle indikatorer.
• Cyberspionasje: OilRig fokuserer først og fremst på cyberspionasjeoperasjoner. Hovedmålet deres er å samle etterretning og sensitiv informasjon fra målrettede organisasjoner, inkludert offentlige etater, bedrifter og kritiske infrastruktursektorer.
• Spear Phishing: OilRig er kjent for sin bruk av spear-phishing-kampanjer. De lager overbevisende og målrettede phishing-e-poster for å lure enkeltpersoner i organisasjoner til å åpne ondsinnede vedlegg eller klikke på ondsinnede lenker. Når et offer er kompromittert, får gruppen fotfeste i målnettverket.
• Tilpasset skadelig programvare: OilRig utvikler og bruker tilpasset skadelig programvare skreddersydd for deres spesifikke mål. Denne skadelige programvaren inkluderer forskjellige fjerntilgangsverktøy og bakdører, som gjør at gruppen kan opprettholde utholdenhet og kontroll over kompromitterte systemer.
• Målrettet industri: OilRig har vist interesse for en rekke sektorer, inkludert energi, telekommunikasjon, myndigheter og finansielle organisasjoner. Deres valg av mål antyder et fokus på kritisk infrastruktur og verdifull åndsverk.